CACTER郵件安全&中睿天下《2022年Q1企業(yè)郵箱安全報告》
一、2022年Q1垃圾郵件宏觀態(tài)勢
僅就正常郵件而言,統(tǒng)計顯示,全國企業(yè)郵箱用戶在2022第一季度年共收發(fā)正常郵件僅占6億2785萬,占比48.17%。普通垃圾郵件占比44.82%,嚴(yán)重影響郵件交流。
根據(jù)CAC郵件安全大數(shù)據(jù)中心評估,2022 Q1全國企業(yè)郵箱用戶共收到各類垃圾郵件6.75億封,相比2021年Q4季度環(huán)比下降11.5%,但對比去年Q1同比增長17.28%。
根據(jù)Coremail監(jiān)測,垃圾郵件的發(fā)送者遍布全球。其中,來自境外的垃圾郵件占企業(yè)用戶收到的垃圾郵件的55.74%,向全球發(fā)送了3.76億封垃圾郵件;境內(nèi)發(fā)送占比44.2%,向全球發(fā)送了2.99億封垃圾郵件。
二、2022年Q1釣魚郵件宏觀態(tài)勢
2022年第一季度的釣魚郵件數(shù)量環(huán)比增長10.74%。2021年至今,釣魚郵件發(fā)送數(shù)量持續(xù)增長,相較去年同期增長甚至高達(dá)81.31%,釣魚郵件攻擊已成為目前郵件系統(tǒng)的主要威脅之一。
2022年Q1季度中釣魚郵件的占比逐漸上升,一方面是因?yàn)?/font>釣魚郵件數(shù)量的增多,另一方面CAC反垃圾算法的更新迭代也讓CAC對釣魚郵件的識別更加精確。
第一季度的釣魚郵件發(fā)送源81.68%來自境外,高達(dá)4952.5萬。境內(nèi)發(fā)送僅占比18.32%,只發(fā)送了1110.6萬封釣魚郵件。
三、釣魚攻擊IP歸屬地分析
從釣魚攻擊IP發(fā)送源分析,整個Q1季度,來自美國的攻擊IP來源始終保持排名第一,合計攻擊次數(shù)高達(dá)408萬。其余區(qū)域排名存在波動,總體而言,越來越多的釣魚郵件正在被發(fā)送給企業(yè)郵箱。
2022年Q1企業(yè)用戶收到的釣魚郵件量約占用戶收發(fā)郵件總量的4.65%。平均每天約有67萬封釣魚郵件被發(fā)出和接收。
四、暴力破解IP歸屬地分析
目前全球網(wǎng)絡(luò)環(huán)境錯綜復(fù)雜,企業(yè)郵箱面對的威脅同等嚴(yán)峻,原通過“反垃圾郵件”進(jìn)行單一的郵件安全保護(hù),已經(jīng)難以應(yīng)對。
為此,Coremail對原CAC進(jìn)行全新升級,新增監(jiān)測“郵箱賬號暴力破解監(jiān)測與防護(hù),加強(qiáng)對賬號安全的保護(hù)。
根據(jù)CAC郵件安全大數(shù)據(jù)中心監(jiān)測,2022年Q1季度,境外暴力破解IP主要來源于美國,俄羅斯以及印度。
IP來自國內(nèi)的暴力破解次數(shù)持續(xù)上漲,3月環(huán)比增幅高達(dá)157%,3月主要集中地區(qū)是江蘇,安徽,福建和江西。
五、2022年Q1典型威脅郵件
1. Emotet 病毒郵件攻擊案例
帶宏病毒加密附件的惡意郵件-樣式一
從去年11月開始,Emotet病毒郵件持續(xù)泛濫。攻擊者除了通過歷史郵件信息構(gòu)造郵件內(nèi)容,還喜歡通過對附件加密壓縮的方式,來同時繞過反病毒和反垃圾的檢查。附件加密后即使是沙箱也難以識別出病毒。
某客戶在遭受Emotet攻擊后,日常不到10w的收件量,被Emotet病毒郵件攻擊時的收件量激增到40w。
Emotet攻擊原理如下:
綜合而言,Emotet病毒郵件包含以下典型特征
1、攜帶加密附件或office宏文檔
2、正文中出現(xiàn)“Password”或“密碼”等關(guān)鍵詞,加密附件的密碼出現(xiàn)在正文
3、出現(xiàn)一些歷史郵件的轉(zhuǎn)發(fā)信息
4、近期的Emotet主要是附件用xlsm 以及附件為加密壓縮包,壓縮包內(nèi)是xlsm。
2.Emotet病毒郵件防護(hù)策略
1、收到此類郵件建議用其他社交方式與發(fā)信人取得聯(lián)系,若確認(rèn)為病毒郵件,則馬上報告安全部門
2、此類加密壓縮的文件,如果一定要打開,建議放到虛擬機(jī)的測試環(huán)境(斷網(wǎng))打開
3、為了能將病毒郵件與正常郵件行為有所區(qū)分,建議日常發(fā)送加密壓縮附件時,應(yīng)該以其他手段將密碼通知收件人,而不是放在正文
4、若不小心點(diǎn)擊了附件,建議馬上切斷中招PC的網(wǎng)絡(luò),并馬上聯(lián)系安全部門清理上網(wǎng)環(huán)境
5、個人PC安裝殺毒軟件,并保持更新。
6、使用CACTER郵件安全網(wǎng)關(guān)提升防御機(jī)制。
六、工資補(bǔ)貼型釣魚郵件溯源
1. 概述
近日CAC郵件安全大數(shù)據(jù)中心&中睿天下郵件安全響應(yīng)中心監(jiān)測到一批來自黑產(chǎn)組織的釣魚郵件,主題為【工資補(bǔ)貼】該組織通過誘導(dǎo)受害者輸入敏感信息進(jìn)行實(shí)時詐騙,中睿天下該郵件進(jìn)行了深度溯源,該黑產(chǎn)團(tuán)伙的分析報告如下。
1.郵件詳情
該封郵件正文是工資補(bǔ)貼通知,在正文中放置了一張二維碼圖片,誘導(dǎo)收件人掃描正文中二維碼。郵件附件的內(nèi)容和郵件正文一樣,并未攜帶病毒和可執(zhí)行文件。
圖-郵件正文
2. 黑產(chǎn)釣魚手法分析
攻擊者通過在正文和附件放置惡意二維碼,誘導(dǎo)收件人掃描二維碼,收件人掃描該二維碼后會跳轉(zhuǎn)到仿冒銀聯(lián)的頁面,該頁面誘導(dǎo)用戶輸入個人信息及銀行卡信息,所以該網(wǎng)站主要為獲取用戶姓名、身份證號、手機(jī)號和銀行卡號等信息。
通過查看釣魚頁面的前端JS發(fā)現(xiàn)頁面調(diào)用api接口,域名為api.klh****.***,查詢api域名解析IP47.5*.*.***。
圖-API接口
對此域名進(jìn)行端口掃描,發(fā)現(xiàn)開啟8888端口,訪問該端口為發(fā)現(xiàn)寶塔登錄面板,由此可得出此釣魚為寶塔統(tǒng)一部署,從正面滲透進(jìn)入寶塔難度極高。
圖-寶塔面板
對IP47.5*.*.***反查域名發(fā)現(xiàn)關(guān)聯(lián)200多個域名,因?yàn)檫\(yùn)用了cname,真實(shí)綁定在此IP上的域名只有api.klh***.***和new.****.***。登錄此域名發(fā)現(xiàn)為該黑產(chǎn)組織的總后臺。
圖-旁站查詢
圖-綁定域名查詢
3. 黑產(chǎn)網(wǎng)站功能分析
通過總控后臺可以發(fā)現(xiàn)有眾多的分管后臺,同時由總控后臺可以編輯分管后臺的域名跳轉(zhuǎn)、續(xù)期、受害人提取等操作方式。因此可以判斷這是一個實(shí)行分銷制的黑產(chǎn)團(tuán)伙。
圖-總控后臺
用戶功能處顯示所有受害者的姓名、銀行卡號、身份證號、手機(jī)號、支付密碼、IP地址\地區(qū)、在線狀態(tài)、使用設(shè)備、操作記錄和添加時間等信息。
圖-受害者詳情
提示跳轉(zhuǎn)處是釣魚網(wǎng)站收集受害者信息頁面跳轉(zhuǎn)的規(guī)則設(shè)置。通過此頁面可以控制受害者的網(wǎng)頁跳轉(zhuǎn)階段,以及網(wǎng)頁的彈窗提示。
圖-訪問IP
黑產(chǎn)管理后臺同時可配置釣魚頁面和釣魚模板正文選擇,可以用來針對不同的受害者定向編輯模版。
圖-釣魚后臺系統(tǒng)配置
4.1 黑產(chǎn)組織架構(gòu)
通過對黑產(chǎn)業(yè)務(wù)的摸排,還原出黑產(chǎn)團(tuán)隊(duì)的組織架構(gòu)。由主團(tuán)伙負(fù)責(zé)開發(fā)和維護(hù)建站模版,使用寶塔統(tǒng)一部署。在找到分銷的下線之后,為下線部署一個管理后臺,然后將一個隨機(jī)生成的域名綁定到釣魚服務(wù)器上。
圖-黑產(chǎn)架構(gòu)1
圖-黑產(chǎn)架構(gòu)2
4. 相似黑產(chǎn)郵件預(yù)警
通過對黑產(chǎn)后臺的摸排,同時還掌握了一批未經(jīng)利用的郵件釣魚模版。
可用于提醒員工一但收到的類似的短信或者域名請不要輸入任何的敏感信息。
圖1-ETC模板
圖2-新ETC模板
圖3-社保模版
圖4-醫(yī)保模板
圖5-美團(tuán)模板
圖6-工資模板
點(diǎn)擊→ 下載報告